
Tir^T WELTORGAN1SATION FOR GEISTIGES EIGENTUM 

IV-, X Inte rnationa le;* Euro 

INTERNATIONALE ANMEUDUNG VEROFFENTUCHT NACH DEM VERTRAG OBER DTE 
INTERNATIONALE ZUSAMMEN ARBEIT AUF DEM GEBIET DES PATENTWESENS (PCT) 



(51) Internationale Fa tentkiassifi kation 6 : 
H04Q 11/04 



A2 



(11) Internationale Veroffentlichungsnummen WO 98/53635 

26. November 1998 (25.U.98) 



(43) Internationales 

Verdffentllcnnngsdatum 



(21) Internationales Aktenzefchen: PCT/EP98/02121 

(22) Internationales AnmeWedatum: 1 1 . April 1998 (11 .04.98) 



(30) Prioritatsdatan: 
197 20 719.7 



16. Mai 1997 (16.05.97) 



DE 



(71) Aiunelder ' (Jur alle Bestimmungsjtaaten ausser 
US): DEUTSCHE TELEKOM AG [DE/DE]; 
Friedrich-Ebcrt-AUcc 140, I>-531 13 Bonn (DE). 

(72) Erfinder? mid 

(75) Erfinder/Aomelder (nurjtlr US): STOLZ, Helmut [DE'DE]; 
Am Gensberge 12, D-57080 Siegen (DE). 



(81) Bestiminungastaaten: CA. CN. JP, KR, TR, US, europSischcs 
Patent (AT. BE, Oi CY, DE, DK, ES, FI, FR, GB. GR, 
IE, IT. LL\ MC, NL, PT, SE). 



VerofTentiicht 

Ohnt inter naiionalen Recherchenbericht und crneui 2M 
vcrdjfentlichcn nach Erhalt des Bcrichts. 



(54) Title: DEVICE FOR MONITORING A CONNECTION SETUP 

(54) Bexeichnung: VERBINDUNGSAUFBAU-OBERWACHUNGSVORRICHTUNG 



fo 



(57) Abstract 

The invention relates to a device for pro- 
tecting a data terminal, specially a personal 
computer, connected to a digital communica- 
tion network against unauthorized external ac- 
cess. To this end, the device (60) is interposed 
between at least one data terminal (20, 30) anil 
a network terminal (50), which are connected 
via a terminal end connection (40). At least 
one storage device (80, 85) is provided for the 
micrmediate storage of a call number transmit- 
ted by the data terminal (20, 30) via a control 
channel. At least one predetermined call num- 
ber is filed in a second storage device (110). 
A comparator compares the call number stored 
in the intermediate memory with each of the 
predetermined stored call numbers. In case of 
positive comparison results, the device trans- 
mits the call number stored in the intermediate 
storage to the network terminal or blocks the 
transmission of the call number in case of neg- 
ative comparison results thereby impeding connection to a hacker. 
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(57) Zusammenfassung 

Die Erflndung tariflt eine Vomchtung zum Schutz einer an ein digitate Kommunitedo^tt ^^^^^^^ 
insbeaondeie einec Personal-Computes, gegen unberechdgte ext=nie Zugnffe. Daiu ist die V^lmmg (60) jwiscten "W""** 
Dateoerrfeinrichtung (20, 30) und eine Netzabsdduikinrichtung (50) zwhchengcschakct, die uber cne ^^^^^ Jg"^ 
WlTvcrtunden aird. Wenigatena eice erne Speicbereinricbmng (80, 85) ist vorgesehen, urn erne v« der ^^^f'fj 
Uto e^Steuerkaral QbeLget* KutauJcr zwi^enzuapeichen, H eine: zwoten ^^^L^ t 
vorbestimmte Rufnuramer abgclegt Eine Vergleichseinrlchning vergleicht die w^f^^™/" 6 ?^.^^!!?!^^ 
vorbestimmtea Rutamnier. In Abhlngigkeit von einem poaidven Vcrgleidisergebrus ^.^^^^.^Sfte 
Rtfnummer zur NetzatechluBeinrichmng writer cdcr aperrt in Abhangigkeit von eu>em negative* Vergleichsergebrns die Wettergabe der 
Rufnummer und vertiindcn damit einen Verbindungsaufbau zu emem Eindnngling. . 
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zwischengespeicherte Rufnummer mit alien in der zweiten 
Speichereinrichtung gespeicherten Rufnummern vergleichen muB. 

Wird der Steuereinrichtung von der 
Vergleichseinrichtung signalisiert , daB die 
zwischengespeicherte Rufnummer mit einer der in der zweiten 
Speichereinrichtung gespeicherten Rufnummer liber einstimmt, 
deaktiviert sie den Steuerkanal-Decoder , so daB nach einera 
Verbindungsaufbau die Endeinrichtungs-AnschluBleitung von der 
angeschalteten Datenendeinrichtung durch das 
Verbindungsaufbau-Uberwachungsgerat zur 
NetzabschluBeinrichtung durchgeschaltet ist. 

Die erste Speichereinrichtung zur Zwischenspeicherung 
einer zu rufenden Rufnummer ist zweckmaBigerweise ein 
Schieberegister, in das die Rufnummer seriell eingetaktet 
wird. 

GemSB einem Ausflihrungsbeispiel weist die 
NetzabschluBeinrichtung eine iSDN-AnschluBkonf iguration mit 
einer. S 0 -Schnittstelle auf. Die ISDN-AnschluBkonf iguration 

kann fur einen BasisanschluB umfassend zwei NutzkanSle und 
einen Steuerkanal oder einen PrimarmultiplexanschluB 
umfassend 30 Nutzkanale und einen Steuerkanal ausgelegt sein. 
Bei der Endeinrichtungs-AnschluBleitung handelt es sich in 
diesem Fall urn einen Sq-Bus, wobei der Steuerkanal der 

D-Kanal ist. 

Das verbindungsaufbau-Uberwachungsgerat kann eine 
Tastatur zur Eingabe der vorbestimmten Rufnummern in die 
zweite Speichereinrichtung aufweisen. ErgSnzend oder 
alternativ kann eine Schnittstelle zum Anschalten eines 
Computers vorgesehen sein, uber den die Steuereinrichtung 
programmierbar ist und die vorbestimmten Rufnummern flir die 
jeweiligen Datenendeinrichtungen eingegeben werden konnen. 

Falls ein externer Angriff auf eine angeschaltete 
Datenendeinrichtung erfolgt, ist eine Einrichtung zur 
optischen und/oder akustischen Signalisierung eines 
verbindungsabbruchs vorgesehen. 

Anstatt das Verbindungsaufbau-Uberwachungsgerats als 
separate Einheit in die Endeinrichtungs-AnschluBleitung 
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einzuschleifen, ist es denkbar, das Gerat in der 
NetzabschluBeinrichtung anzuordnen . 

Die Erfindung wird nachfolgend anhand eines 
Ausfiihrungsbeispiels in Verbindung mit den beiliegenden 
Zeichnungen naher erlautert. Es zeigen: 
Fig. 1 ein stark vereinf achtes Blockschaltbild eines 

ISDN-Netzes, an das beispielsweise zwei Endeinrichtungen 

angeschaltet sind, und 
Fig. 2 das in Fig. 1 dargestellte, erf indungsgemaBe 

Verbindungsaufbau-Uberwachungsgerat. 

Fig. 1 zeigt schematisch dargestellt ein I SDN -Net z 
10, an das zwei Datenendeinrichtungen, in unserem Beispiel 
zwei Personal-Computer 20 und 30, iiber einen S 0 -Bus 40 und 
iiber eine NetzabschluBeinrichtung 50 angeschaltet sind. Fur 
unser Beispiel sei angenommen, daB die 
NetzabschluBeinrichtung 50 fiir einen lSDN-BasisanschluJ3 
umfassend zwei B-Kanale (Nutzkanale) und einen D-Kanal 
(Steuerkanal) ausgebildet ist. Es sei darauf hingewiesen, daB 
die Erfindung in jedera digitalen Kommunikationsnetz Anwendung 
finden kann, in dem Verbindungsaufbauinformationen Uber einen 
getrennten Steuerkanal ubertragen werden. Jeder 
Personal-Computer 20, 30 ist mit einer 

ISDN-Schnittstellenkarte versehen, liber die er an den S 0 -Bus 
40 angeschaltet ist. Der hier benutzte S 0 -Bus 40 kann mit 
maximal acht Endeinrichtungen verbunden sein. Falls in einer 
Oder beiden ISDN-Schnittstellenkarten der jeweiligen Computer 
20 und 30 ein sogenanntes Trojanisches Pferd implementiert 
ist, konnen die befallenen Computer 20 und 30 veranlaBt 
werden, zu einem Angreifer eine verbindung aufzubauen, iiber 
die der Angreifer unmittelbar in die Personal-Computer 20 und 
30 eindringen kann. Urn einen solchen Angriff zu vermeiden, 
ist teilnehmerseitig in den S 0 -Bus 40 zwischen den 
Personal-Computern 20 und 30 und der NetzabschluBeinrichtung 
50 ein verbindungsaufbau-Uberwachungsgerat 60 eingeschleift . 
wie nachfolgend noch ausfiihrlicher erlautert wird, dient das 
Verbindungsaufbau-tiberwachungsgerat 60 dazu, den Aufbau einer 
Verbindung nur zu vorbestimmten- Teilnehmern zuzulassen. 
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Verbindn ngsaufbau-UberwachangsvorrichtunQ 

Die Erfindung handelt voa einer Vorrichtung zum 
Schutz einer an ein digitales Konmiunikationsnetz 
angeschalteten Datenendeinrichtung, insbesondere eines 
Personal Computers, gegen unberechtigte externe Zugriffe. 

Datenendgerate, wie z. B. Faxger&te Oder Personal 
Computer, sind teilnehmerseitig mittels einer eingesteckten 
ISDN-Schnittstellenkarte an den Sq-Bus einer 

ISDN-Anschluflkonf iguration angeschaltet . Es sind heutzutage 
Angrif f ssszenarien bekannt, bei denen wahrend der Herstellung 
von solchen ISDN-Schnittstellenkarten in die jeweilige 
Kommunikations-Anwendungsschnittstelle sogenannte "Viren" 
Oder "Trojanische Pferde" implementiert werden. Solche 
"Trojanischen Pferde" enthalten die Rufnummer eines 
Eindringlings und sind in der Lage, von dem befallenen 
Datenendgerat aus einen Verbindungsaufbau zu dem Eindringling 
aufzubauen, der danach unmittelbaren Zugriff zu 
Datenbestanden und Anwendungsprograramen des befallenen 
Datenendgerats hat- 

Der Erfindung liegt daher die Aufgabe zugrunde, eine 
Vorrichtung zu schaffen, mit der an ein digitales 
Kommunikat ions net z angeschaltete Datenendeinrichtungen gegen 
unberechtigte externe Zugriffe geschiitzt werden konnen. 

Dieses technische Problem 15st die Erfindung mit den 
Merkmalen des Anspruchs 1. Vorteilhafte Weiterbildungen sind 
in den Unteransprlichen angegeben . 

Urn einen unberechtigten externen Zugriff auf eine an 
ein digitales Kommunikat ionsnetz angeschaltete 
Datenendeinrichtung zu verhindern, ist eine Vorrichtung, im 
Nachfolgenden "Verbindungsaufbau -iiberwachungsger at" genannt, 
zwischen wenigstens eine Datenendeinrichtung und eine 
NetzabschluBeinrichtung, die uber eine 
Endeinrichtungs-Anschluftleitung verbunden sind, 
zwischengeschaltet. Das Verbindungsaufbau-Uberwachungsgerat 
enthait wenigstens eine erste Speichereinrichtung zum 
Zwischenspeichern einer von der Datenendeinrichtung Uber 



WO 98/53635 PCT/EP98/02121 



2 

einen Steuerkanal iibertragenen Rufnummer. Dariiber hinaus ist 
eine zweite Speichereinrichtung vorgesehen, in der wenigstens 
eine vorbestimmte Rufnummer ablegbar ist. Eine 
Vergleichseinrichtung dient dazu, die zwischengespeicherte 
Rufnummer mit jeder vorbestimmten gespeicherten Rufnummer zu 
vergleichen. Ferner enthSlt das 

Verbindungsaufbau-Uberwachungsgerat eine Einrichtung, die in 
Abhangigkeit von einem positiven vergleichsergebnis der 
Vergleichseinrichtung die zwischengespeicherte Rufnununer zur 
NetzabschluAeinrichtung weiterleitet und in Abhangigkeit von 
einem negativen vergleichsergebnis die Weitergabe der 
Rufnummer sperrt und damit einen Verbindungsauf bau zu einem 
der Rufnummer zugeordneten Teilnehmer verhindert. 

Sind mehrere Datenendeinrichtungen an die 
Endeinrichtungs-Anschlufileitung angeschaltet, so ist in der 
zweiten Speichereinrichtung fur jede Datenendeinrichtung 
wenigstens eine vorbestimmte Rufnummer abgespeichert. Auf 
diese Weise kann jede angeschaltete Datenendeinrichtung nur 
zu dem Teilnehmer eine Verbindung aufbauen/ dessen Rufnummer 
in der zweiten Speichereinrichtung abgelegt ist. 

Das verbindungsaufbau-tiberwachungsgerat weist ferner 
eine Steuereinrichtung auf, die zweckmaJJigerweise bei einem 
negativen Vergleichsergebnis die zwischengespeicherte 
Rufnummer aus der ersten Speichereinrichtung loscht. 

Teilnehmerseitig ist in dem 
Verbindungsaufbau-UberwachungsgerHt ein Steuerkanal-Decoder 
vorgesehen, der die von der rufenden Datenendeinrichtung 
iibertragene verbindungsaufbauinformation empfangt und daraus 
die Rufnummer und die Identif ikationsnummer der rufenden 
Datenendeinrichtung gewinnt . 

Die Steuereinrichtung ist derart programmiert , dafl 
sie unter Ansprechen auf die vom Steuerkanal-Decoder 
erhaltene identif ikationsnummer nur die in der zweiten 
Speichereinrichtung gespeicherten Rufnummern an die 
Vergleichseinrichtung anlegt, die der entsprechenden 
Datenendeinrichtung zugeordnet sind. Auf diese Weise wird 
verhindert, daJ3 die Vergleichseinrichtung die 
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Fig. 2 zeigt ein mogliches Blockschaltbild zur 
schaltungstechnischen Realisierung des 

Verbindungsaufbau-Uberwachungsgerates 60. Teilnehmerseitig 
weist das Verbindungsauf bau-tiberwachungsgerat einen 
Steuerkanal-Decoder, in unserem Beispiel einen 
D-Kanal-Decoder 70, auf. 

Der D-Kanal-Steuerkanal-Decoder 70 hat die Aufgabe, die von 
den personal-Computern 20 und 30 kommenden 
Verbindungsaufbau-Informationen zu empfangen und daraus die 
gewiinschte Rufnummer sowie die den jeweiligen 
Personal-Computer kennzeichnende Identif ikationsnummer zu 
gewinnen. Da .der hier benutzte ISDN-BasisanschluB liber zwei 
B-KanSLle verfiigt, konnen die beiden Personal -Computer 20 und 
30 gleichzeitig rait verschiedenen Teilnehmern kommunizieren. 
Aus diesem Grund ist der D-Kanal-Decoder 70 ausgangsseitig 
mit zwei Speichereinrichtungen 80, 85 verbunden. Die 
Speichereinrichtungen 80, 85 kSnnen als Schieberegister 
ausgebildet sein. Eingangsseitig ist der D-Kanal-Decoder mit 
dem Sq-Bus 40 verbunden. Der Sq-Bus 4 0 verlaBt 

ausgangsseitig den D-Steuerkanal-Decoder 70 und flihrt an den 
Eingang der Netzabschlufceinrichtung 50. Jedes Schieberegister 
80, 85 ist beispielsweise iiber einen Schalter 90 bzw. 95 mit 
dem Sq-Bus 40 am Ausgang des D-Steuerkanal-Decoders 70 

verbunden. Der D-Steuerkanal-Decoder 70 filtert, wie bereits 
erwahnt, aus der Verbindungsaufbauinf ormation die Rufnummer 
aus und schiebt sie in eines der Schieberegister 80, 85 ein. 
Der Ausgang der Schieberegister 80, 85 ist jeweils 
eingangsseitig mit einer Vergleichseinrichtung 100 verbunden. 
An einen weiteren Eingang der Vergleichseinrichtung 100 ist 
eine Speichereinrichtung 110 angeschlossen, in der fur jeden 
Personal-Computer 20 und 30 vorbestimmte Rufnummern abgelegt 
sind. Eine Steuereinrichtung 120 ist eingangsseitig mit einem 
Ausgang des D-Steuerkanal-Decoders 70 verbunden und empfangt 
von dem D-Steuerkanal-Decoder 70 die Identif ikationsnummer 
des jeweils rufenden Personal-Computers 20 und/oder 30. 
Ferner ist die Steuereinrichtung 120 mit den beiden Schaltern 
90 und 95, der Speichereinrichtung 110 und der 
Vergleichseinrichtung 100 verbunden. Das 
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Verbindungsaufbau-Uberwachungsgerat 60 kann ferner eine 
Tastatur aufweisen, iiber die die vorbestrmmten Rufnummern fUr 
die personal-Computer 20 und 30 in die speichereinrichtung 
110 eingegeben werden kdnnen. Alternativ Oder erganzend kann 
das Verbindungsaufbau-Uberwachungsgerat 60 eine Schnittsteile 
aufweisen, an die ein Computer (nicht dargestellt) 
angeschaltet sein kann. Mit Hilfe des Computers konnen 
beispielsweise vorbestimmte Rufnummern in die 
Speichereinrichtung 110 eingeschrieben werden. Die 
Steuereinrichtung 120 ist auch mit einer optischen und/oder 
akustischen Warneinrichtung (nicht dargestellt) verbunden. 
Die warneinrichtung wird von der steuereinrichtung 120 
aktiviert, einen Verbindungsabbruch zu signalisieren, wenn 
die vergleichseinrichtung 100 feststellt, dali die im 
Schieberegister 80 und/oder 85 zwischengespeicherte Rufnummer 
nicht mit einer der in der Speichereinrichtung 110 abgelegten 
Rufnummer ubereinstijnmt . Beispielsweise kann das warnsignal 
liber den D-Kanal des S 0 -Busses 40 zum Personal-Computer 20, 
30 gesendet werden und dort ein optisches oder akustisches 
warnsignal auslosen. Obwohl das erf indungsgemaJJe 
Verbindungsaufbau-Uberwachungsgerat 60 als separate 
Einrichtung beschrieben ist, kann es in der 
NetzabschluJieinrichtung 50 selbst angeordnet sein. Die 
Speisung des Verbindungsaufbau-tiberwachungsgerats 60 erfolgt 
beispielsweise iiber eine eigene stromversorgungseinrichtung 
(nicht dargestellt). 

Es wird nunmehr die Funktionsweise des 
erfindungsgemaJien verbindungsaufbau-tiberwachungsgerats 60 
erlautert. Es sei angenommen, daJ3 in der Speichereinrichtung 
110 fur den personal-Computer 20 zwei Rufnummern, 
beispielsweise die Rufnummern 1010 und 1111, und fur den 
Personal-Computer 30 ebenfalls zwei Rufnummern, 
beispielsweise die Rufnummern 1000 und 0001, abgelegt sind. 
im Anfangszustand seien ferner die Schalter 90 und 95 
geoffnet. Mir gehen zunachst davon aus, daJJ der 
Personal-Computer 20 einen verbindungsaufbau zu einem 
Teiinehmer mit der Rufnummer 1111 einleiten m5chte. Dazu 
sendet er iiber den D-Kanal des S 0 -Busses 40 in einem 
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festgelegten Protokoll die Rufnummer 1111 zum ISDN-Net z 10. 
Die vom Personal-Computer 20 ausgesendete 

verbindungsaufbauinformation, die sowohl die Rufnummer 1111 
als auch seine Identif ikationsnummer enthalt, wird zum 
D-Kanal-Decoder 70 des Verbindungsauf bau-Uberwachungsgerates 
60 ubertragen. Der D-Kanal-Decoder 70 leitet aus der 
Verbindungsaufbauinformation die Identif ikationsnummer ab und 
ubertragt sie zur Steuereinrichtung 120. Die 
Steuereinrichtung 120 sorgt daftir, daB die beiden in der 
Speichereinrichtung 110 fur den Personal-Computer 20 
gespeicherten Rufnummern 1111 und 1010 nacheinander an die 
vergleichseinrichtung 100 angelegt werden. Der 
D-Kanal-Decoder 70 leitet auBerdem aus den empfangenen 
Verbindungsaufbauinformationen die Rufnummer 1111 ab und 
leitet sie an das Schieberegister 80 weiter. AnschlieBend 
wird die zwischengespeicherte Rufnummer des Schieberegisters 
80 an die Vergleichseinrichtung 100 angelegt und nacheinander 
mit den beiden Rufnummern, die von dem Speicherregister 110 
angelegt werden, verglichen. Die Vergleichseinrichtung 100 
signalisiert der Steuereinrichtung 120 , daB die 
zwischengespeicherte Rufnummer mit einer der beiden 
vorbestajnmten Rufnummern ubereinstimmt, die dem 
Personal-Computer 20 zugeordnet sind. Daraufhin schlieBt die 
Steuereinrichtung 120 den Schalter 90, und das 
Schieberegister 80 schiebt die gespeicherte Rufnummer 1111 
auf den Sq-Bus 40. Die akzeptierte Rufnummer wird liber die 

NetzabschluBeinrichtung 50 zu einer entsprechenden 
Vermittlungsstelle des ISDN-Netzes 10 ubertragen/ woraufhin 
eine Verbindung zwischen dem Personal -Computer 20 und dem 
gerufenen Teilnehmer mit der Rufnummer 1111 hergestellt wird. 
Nachdem die Rufnummer zum ISDN-Net z 10 ubertragen worden ist, 
deaktiviert die Steuereinrichtung 120 den D-Kanai-Decoder 70 
und off net wieder den Schalter 90. Auf diese Weise.ist der 
Personal-Computer 20 unmitteibar liber den Sq-Bus 40 mit der 

NetzabschluBeinrichtung 50 und mit dem gerufenen Teilnehmer 
verbunden. Jetzt konnen zwischen dem gerufenen Teilnehmer und 
dem Personal -Computer 20 Daten ausgetauscht werden- 
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Es sei ferner angenommen, daB auch der zweite 
personal-Computer 30 einen Verbindungswunsch hat. Dazu sendet 
der personal-Computer 30 seine Verbindungsaufbauinforraationen 
zunachst zum D-Steuerkanal-Decoder 70. In unserem Beispiel 
enthalt aber die ISDK-Schnittstellenkarte des 
Personal-Computers 30 ein Trojanisches Pferd, das diesen 
Verbindungsaufbauwunach mit der Rufnummer 0110 einleiten 
mSchte. Der D-Kanal-Decoder 70 filtert die Rufnummer aus der 
verbindungsaufbauinformation heraus und schiebt sie in das 
Schieberegister 85. Ferner entnimmt der D-Kanal-Decoder 70 
der verbindungsaufbauinformations die I dent if ikat ions nummer 
des personal-computers 30 und leitet diese der 
Steuereinrichtung 120 zu. Die Steuereinrichtung 120 sorgt 
wiederum dafur, daB diesmal die beiden dem personal-Computer 
30 zugeordneten Rufnummern 0001 und 1000 aus der 
Speichereinrichtung 110 an die Vergleichseinrichtung 100 
nacheinander angelegt werden. Die vergleichseinrichtung 100 
vergleicht nun nacheinander die in dem Schieberegister 85 
zwischengespeicherte Rufnummer 0110 mit den zulassigen 
Rufnummern fur den Personal-Computer 30. Da die 
vergleichseinrichtung 100 keine Ubereinstimmung zwischen den 
Rufnummern feststellt, bleibt der Schalter 95 geoffnet, und 
der Verbindungsaufbau wird damit- abgebrochen . Gleichzeitig 
loscht die Steuereinrichtung 120 den Inhalt des 
Schieberegisters 85. 

Dariiber hinaus wird die nicht dargestellte optische und 
akustische Warneinrichtung aktiviert, um den 
Verbindungsabbruch und damit dem Teilnehmer einen externen 
Angriff auf den Personal-Computer 30 zu signalisieren. 
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P.atentansprUche 

1 . vorrichtung zum Schutz einer an ein digitales 

Kommunikationsnetz angeschalteten Datenendeinrichtung 
gegen unberechtigte externe Zugriffe, mit folgenden 
Merkmalen: 

die Vorrichtung (60) ist zwischen wenigstens eine 
Datenendeinrichtung (20, 30) und eine 
Netzabschlufleinrichtung (50), die iiber eine 
Endeinrichtungs-Anschluflleitung (40) verbunden sind, 
zwischengeschaltet , 

wenigstens eine erste Speichereinrichtung (80, 85) zum 
Zwischenspeichern einer von der Datenendeinrichtung (20, 
30) iiber einen Steuerkanal iibertragenen Rufnunimer, 
eine zweite Speichereinrichtung (110), in der wenigstens 
eine vorbestimmte Rufnummer abiegbar ist, 
eine Vergleichseinrichtung (100), die die 
zwischengespeicherte Rufnummer mit jeder ■ gespeicherten 
Rufnummer vergleicht, und 

eine Einrichtung (120, 90, 95), die in Abhangigkeit von 
einem positiven Vergleichsergebnis die 

zwischengespeicherte Rufnummer zur Netzabschlu£einrichtung 
(50) weiterleitet oder in Abhangigkeit von einem negativen 
Vergleichsergebnis die Weitergabe der Rufnummer sperrt. 

2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet f da£ 
in der zweiten Speichereinrichtung (110) ftir jede 
Datenendeinrichtung (20, 30) wenigstens eine vorbestimmte 
Rufnummer speicherbar ist. 

3 . Vorrichtung nach Anspruch 1 oder 2, gekennzeichnet durch 
eine Steuereinrichtung (120), die bei einem negativen 
Vergleichsergebnis die Rufnummer aus der ersten 
Speichereinrichtung (80, 85) loscht, und durch 

einen Steuerkanal-Decoder (70), der aus einer von der 
Datenendeinrichtung (20, 30) iibertragenen 
Verbindungsaufbauinf ormation die Rufnummer und die 
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Identifikationsnummer der Datenendeinrichtung {20, 30) 
erhalt . 

4* vorrichtung nach Anspruch 3, dadurch gekennzeichnet, daB 
die Steuereinrichtung (120) unter Ansprechen auf die vom 
Steuerkanal-Decoder (70) erhaltene Identifikationsnummer 
nur die in der zweiten Speichereinrichtung (110) 
gespeicherten Rufnuinmern an die Vergleichseinrichtung 
(100) anlegt, die der entsprechenden Datenendeinrichtung 
(20, 30) zugeordnet sind. 

5 . Vorrichtung nach Anspruch 3 oder 4 , dadurch 
gekennzeichnet, daB die Steuereinrichtung (120) bei eineirt 
positiven Vergleichsergebnis den Steuerkanal-Decoder (70) 
deaktiviert. 

6 . Vorrichtung nach einem der Anspriiche 1 bis 5, dadurch 
gekennzeichnet, daB die erste Speichereinrichtung (80, 85) 
ein Schieberegister ist. 

7 . Vorrichtung nach einem der Anspriiche 1 bis 6, dadurch 
gekennzeichnet, daB die NetzabschluBeinrichtung (50) eine 
ISDN-AnschluBkonf iguration mit einer S 0 -Schnittstelle 

aufweist, daB die Endeinrichtungs-AnschluBleitung (40) ein 
S c -Bus ist, und daB der Steuerkanal der D-Kanal ist. 

8 • Vorrichtung nach einem der Anspriiche 1 bis 7 , 

gekennzeichnet durch eine Tastatur zur Eingabe der 
vorbestimmten Ruf nummern. 

9 . vorrichtung nach einem der Anspriiche 1 bis 8 , 

gekennzeichnet durch eine Schnittstelle zum Anschalten 
eines Computers • 
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10. Vorrichtung nach einem der Anspriiche 1 bis 9, 
gekennzeichnet durch eine Einxichtung zur optischen 
und/oder akustischen Signalisierung eines 
Verbindungsabbruchs bei einem negativen 
Vergleichsergebnis . 

11. Vorrichtung nach einem der Anspriiche 1 bis 10, dadurch 
gekennzeichnet, dafl die Vorrichtung (60) in der 
NetzabschluBeinrichtung (50) integriert ist. 



12. Vorrichtung nach einem der Anspriiche 1 bis 11, 

gekennzeichnet durch eine Energieversorgungseinrichtung. 
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(57) Abstract 

The invention relates to a device for pro- 
tecting a data terminal, specially h personal 
computer, connected to a digital communica- 
tion network against unauthorized external ac- 
cess. To this end, the device (60) is interposed 
between at least one data tenninal (20, 30) and 
a network terminal (50), which are connected 
via a tenninal end connection (40). At least 
one storage device (80, 85) is provided far the 
intermediate storage of a call number transmit- 
ted by the data terminal (20, 30) via a control 
channel. At least one predetermined call num- 
ber is filed in a second storage device (110). 
A comparator compares the call number srored 
in the intermediate memory with each of the 
predetermined stored call numbers. In case of 
positive comparison results, the device trans- 
mits the call number stored in the intermediate 
storage to the network terminal or blocks the 
transmission of the call number in case of neg- 
ative comparison results thereby impeding connection to a hacker. 




(57) ZusammenCassung 
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